Aurora Mainnet mengalami serangan kemarin. Itu dihentikan tepat waktu. Kerentanan diperbaiki untuk semua rantai virtual. Penyerang mencuri $240.
Jika menurut Anda $240 tidak banyak, bayangkan saja 40 Big Mac yang lezat. 🧵
Pada pukul 20:05 UTC 7 Agustus, fewnode2790.near mulai bereksperimen dengan memanggil metode sistem yang berbeda dalam kontrak Aurora.
Pada pukul 21:12 dia akhirnya berhasil. Meskipun belum ada kerugian yang terjadi pada saat ini, ini sudah melampaui apa yang seharusnya diizinkan untuk dilakukan pengguna.
Pada pukul 21:18, penyerang berhasil mengeksekusi 'set_whitelist_status' untuk pada dasarnya melarang semua tindakan untuk alamat yang tidak masuk daftar putih. Karena perubahan ini, transfer token ERC-20 tidak dapat diproses; sebagai gantinya, dana dialihkan ke alamat penggantian ERC-20.
Pada titik ini penyerang mulai mencuri uang pengguna selama tindakan menjembatani.
Fungsionalitas daftar putih adalah fitur mesin Aurora yang memungkinkan untuk meluncurkan rantai virtual dengan akses izin. Anda dapat mempelajari lebih lanjut tentang ini dan fitur lain dari Aurora Cloud di
Selama ~2 jam berikutnya, penyerang mendapatkan jarahannya 12 kali, menghasilkan ~$240.
Pada saat yang sama, Aurora Mainnet menjadi hampir tidak beroperasi. Karena daftar putih diaktifkan, sebagian besar transaksi pengguna gagal dengan kesalahan ERR_NOT_ALLOWED.
Pada pukul 21:32 - Tim Infra SRE mendapat peringatan dari rangkaian pengujian end-to-end otomatis, yang secara efektif mengeluh tentang Aurora Mainnet yang tidak beroperasi.
Pada pukul 22:02 tim inti bergabung dengan panggilan tersebut, senang dan bersemangat untuk mengungkap misteri malam ini. Dan pada pukul 22:45 - kontrak Aurora dijeda oleh dewan keamanan.
Namun, itu tidak menghentikan uang mengalir ke saku penjahat. Meskipun demikian, itu mencegahnya untuk menjalankan metode administrasi dengan kejam.
Dalam satu jam berikutnya, tim menemukan solusi untuk masalah tersebut: atur admin daftar putih, batalkan jeda kontrak, nonaktifkan daftar putih dan hapus alamat fallback erc20 => dan eksekusi pada 00:21.
Pekerjaan normal kontrak dipulihkan.
Pada pukul 00:25 penyerang melihat celah ditutup, dan mendanai akunnya dari akun lain (0xD21d9B71a97ea085b62C555e62A4f97d01979a80) untuk mulai menyelamatkan jarahannya:
Sekitar pukul 00:34 - 00:45 - penyerang dengan cepat menarik dana curian melalui Rainbow Bridge dan @uniswap:
Melalui infra dompet & Meteor kami, kami telah mengumpulkan banyak informasi tentang penyerang.
Alamat yang digunakan:
beberapanode2790.dekat
0xFa84dd7B28a9140D4f3aD6ede3b2F70d5950F2E5
0x9b1218a9Aab6555E3F5A491d587bBc6CCA855026
0xD21d9B71a97ea085b62C555e62A4f97d01979a80
0x891083A23A484DA1Ff3c8d681F43F658601f2F74
0x4444588443C3a91288c5002483449Aba1054192b
0x4473472f285D46492a4A700C3a1A6b7569866549
Ip:
97.91.28.168
62.93.176.102
8.217.96.126
45.87.212.54
2600:1007:b016:db07:20a5:6803:dd66:a182
2A02:810A:14AB:9800:CD1A:19E3:4AAF:6ABE
Agen Pengguna:
"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, seperti Gecko) Chrome/136.0.0.0 YaBrowser/25.6.0.0 Safari/537.36"
Kami meminta semua tim yang bekerja di keamanan blockchain untuk menambahkan informasi tentang alamat penyerang ke database mereka. ☝️
@trmlabs, @elliptic, @HypernativeLabs, @CrystalPlatform, @scorechain, @chainalysis, @GlobalLedger
Sementara rantai virtual Aurora lainnya tidak tersentuh, kami memastikan bahwa kerentanan ditambal dalam waktu kurang dari 15 menit di semua 241 instans aktif.
Aurora Labs akan mengkompensasi dana yang dicuri kepada semua pengguna.
Penyerang meninggalkan banyak jejak, termasuk banyak penggunaan kembali alamat dan ada kemungkinan seseorang dapat melacak asal dananya ke platform terpusat, sehingga memungkinkan untuk memulihkan identitasnya.
Dampak rendah dari serangan itu mengurangi keinginan kami untuk berinvestasi dalam penyelidikan di sini dan kami tidak melanjutkannya dengan sumber daya internal.
Namun, kami ingin menyiapkan hadiah 100 Big Mac untuk siapa saja yang akan melacak penyerang hingga entitas terpusat dan menyusun dokumen, sehingga dia tidak bisa melarikan diri. Kejahatan harus dihukum.
Saya ingin berterima kasih kepada tim @auroraisnear atas reaksi cepat terhadap masalah ini. Bagi sebagian orang insiden itu terjadi di tengah malam. Reaksi cepat selama serangan adalah hal yang paling penting untuk dapat membatasi dampak. 💚💚💚
Untuk semua orang yang membangun kontrak (terutama rumit) harap ketahui: serangan akan terjadi. Deteksi serangan Anda yang penting. Bahkan Aurora Bug Bounty yang ada tidak menghentikan penyerang (tetapi pasti akan menghasilkan pembayaran yang lebih tinggi!).
Infra Anda harus memiliki tes e2e untuk berbagai kasus dan mekanisme deteksi perilaku aneh. Ini adalah suatu keharusan. Anda tidak dapat melupakannya, terutama di era AI yang sangat mumpuni yang dapat digunakan untuk menemukan celah. Saya tidak akan terkejut jika vektor serangan ini ditemukan dengan AI.
Serangan adalah stres. Hal terbaik yang membantu Anda mengatasi stres adalah rencana yang disiapkan. Jangan ragu untuk menuliskannya sebelumnya. Anda akan bersyukur telah melakukannya.
Jangan ragu untuk menghubungi para profesional, terutama, ketika Anda benar-benar tidak mengerti apa yang terjadi dan Anda melihat bahwa itu serius.
@_SEAL_Org adalah tempat yang harus dikunjungi.
Mereka membantu kami dalam contoh sebelumnya (untungnya, positif palsu).
BTW, jika akan ada orang yang mendapatkan hadiah ini, itu akan menjadi uji beban yang baik pada infrastruktur @McDonalds.
10,52 rb
262
Konten pada halaman ini disediakan oleh pihak ketiga. Kecuali dinyatakan lain, OKX bukanlah penulis artikel yang dikutip dan tidak mengklaim hak cipta atas materi tersebut. Konten ini disediakan hanya untuk tujuan informasi dan tidak mewakili pandangan OKX. Konten ini tidak dimaksudkan sebagai dukungan dalam bentuk apa pun dan tidak dapat dianggap sebagai nasihat investasi atau ajakan untuk membeli atau menjual aset digital. Sejauh AI generatif digunakan untuk menyediakan ringkasan atau informasi lainnya, konten yang dihasilkan AI mungkin tidak akurat atau tidak konsisten. Silakan baca artikel yang terkait untuk informasi lebih lanjut. OKX tidak bertanggung jawab atas konten yang dihosting di situs pihak ketiga. Kepemilikan aset digital, termasuk stablecoin dan NFT, melibatkan risiko tinggi dan dapat berfluktuasi secara signifikan. Anda perlu mempertimbangkan dengan hati-hati apakah trading atau menyimpan aset digital sesuai untuk Anda dengan mempertimbangkan kondisi keuangan Anda.